Beantwoord

BBox 3v+ port forwarding HELP! Geen lokaal toegang tot je server! Niet meer hairpinning (NAT loopback)!

  • 15 mei 2020
  • 23 reacties
  • 564 Bekeken

Reputatie 1

Hallo,

Ik zoek hulp met betrekking tot NAT op BBox 3v+.
Proximus heeft onlangs mijn BBox 3 (Technicolor) vervangen door BBox 3v + (Sagemcom) om problemen met VoIP op te lossen. Met de nieuwe box is er inderdaad betere ondersteuning voor VoIP, inclusief DECT.

Maar de nieuwe
BBox 3v+ breekt al mijn lokale servers. Er is geen meer toegang an de lokale servers.
De box ondersteunt goed DynDNS, dus u kunt een FQDN toewijzen aan uw openbare IP; evenals NAT port forwarding. Maar die NAT-regels hebben geen effect op lokale apparaten (bijvoorbeeld je gsm over thuis WiFi) in het geval van BBox 3v+. Het werkte goed met de BBox 3 (Technicolor) maar niet meer met de nieuwe BBox 3v+ (Sagemcom).


Als ik op de forums kijk, heb ik veel anderen zien klagen over hetzelfde probleem. En niet alleen voor Proximus, maar ook voor Telenet.

Het technische probleem wordt beschreven in de wiki als “hairpinning (NAT loopback)”:
https://en.wikipedia.org/wiki/Hairpinning
en ziet eruit als een must-have optie op alle residentiële gateways vandaag.

Iedereen spreekt nu over de smart-home. FTP / VPN / HTTPS van uw NAS server achter uw gateway zijn normale dingen waar u om moet vragen. Ze zijn niet alleen voor PRO-markt. Tegenwoordig maken steeds meer consumentenapparaten er gebruik van. We bevinden ons niet in de 20e eeuw toen surfen op het Internet en e-mail, de meest geavanceerde dingen waren.

Ik heb de Proximus klantendienst gebeld om mijn probleem te melden en kreeg het advies om over te schakelen naar hun PRO-gateways/diensten. Dat vind ik heel vervelend. Het lijkt erop dat niemand van Proximus heeft thuis een server (NAS, Raspberry Pi, ...), of dat ze allemaal de PRO-boxen gebruiken.

 

Sorry voor mijn lange verhaal! Ik kijk naar het forum om ondersteuning voor deze functie te vinden en Proximus te overtuigen om er een standaardfunctie van te maken in al hun (SMART) home gateways.


Met vriendelijke groeten!

icon

Beste antwoord door Martin 15 mei 2020, 21:01

Daarom dat de meesten die wat meer uit hun router willen halen, zelf een router op de bbox3 (die pppoe passthrough ondersteunt) aansluiten waar ze een 2de pppoe sessie opzetten en zo naar hartenlust alles op hun eigen router kunnen instellen en de bbox3 laten voor wat ze is bvb alleen daar nog decoders op aansluiten.

Bekijk origineel

23 reacties

Daarom dat de meesten die wat meer uit hun router willen halen, zelf een router op de bbox3 (die pppoe passthrough ondersteunt) aansluiten waar ze een 2de pppoe sessie opzetten en zo naar hartenlust alles op hun eigen router kunnen instellen en de bbox3 laten voor wat ze is bvb alleen daar nog decoders op aansluiten.

Zoals Martin al suggereert , steek je eigen router erachter.

 

Login met je PPPoE credentials en de bbbox zit dan in een bridge functie (PPP passtrough). Waardoor die nog modem speelt.

 

Dan kun je alles instellen wat je wil :)

Reputatie 1

PPPoE passthrough optie werkt niet voor mij omdat ik een vast IP-adres heb en niet meerdere IP-adressen kan krijgen met mijn inloggegevens.

Maar toch, om mensen te vragen om een tweede doos te kopen voor zo'n basisfunctie, in 2020 als we het allemaal hebben over SMART home?
En dit is niet iets nieuws, mensen klagen sinds 2010-2011.

Natuurlijk, complexe oplossingen, voor de geeks, aangezien de 2 dozen bestaan, maar waarom tweemaal de geld en de materialen (denk ecologisch) verspilling, terwijl dit een standaardfunctie is in OpenWRT.

Het feit dat Technicolor-box het heeft en de Sagemcom-box niet, vertelt me dat dit niet in de Proximus vereisten zit. Het maakt ze niet uit of het er is of niet.


Kijk naar andere ISPs in de buurlanden, ze bieden meer geavanceerde functies, in CH kunt u VPN naar u thuis hebben, vaste lijn oproepen pakken vanaf uw GSM, IoT-gateway-integratie enz.

Wat we krijgen in BE, basis Internet verbinding met achtergebleven hardware voor een premium prijs.


Het zal goed zijn om te zien hoe de gemeenschap haar stem verheft en de operators duidelijk maakt dat ze niet voor altijd zo kunnen gaan.

 

hopelijk kun je proximus ervan overtuigen :wink:

Reputatie 6
Badge +3

Meer dan als test de DMZ host activeren kan je niet doen: Access control,firewall,DMZ-host. Het hangt ook af dat wij als klanten enkel maar heel beperkte configuratie mogelijkheden hebben met de user account dan heb je nog admin en expert.

Reputatie 3
Badge +1

PPPoE passthrough optie werkt niet voor mij omdat ik een vast IP-adres heb en niet meerdere IP-adressen kan krijgen met mijn inloggegevens.

 

Toch wel. Met een vast IP adres zal je het vast IP krijgen op de eerste PPPoE sessie

De volgende PPPoE sessies krijgen dan een dynamisch IP

Als je dus de PPPoE sessie afzet in de B-box, zal jouw achterliggende router het vast IP verkrijgen.

 

Maar die NAT-regels hebben geen effect op lokale apparaten (bijvoorbeeld je gsm over thuis WiFi) in het geval van BBox 3v+. Het werkte goed met de BBox 3 (Technicolor) maar niet meer met de nieuwe BBox 3v+ (Sagemcom).

Het énige wat je niet kan is een interne server bereiken via het extern IOv4 adres (Nat loopback).
Heb je dat zo nodig? Via 4G of de smart wifi moet het wel lukken?

ik begrijp het ook niet goed normaal gebruik je eigenlijk maar Nat loopback om vanuit je eigen lokaal netwerk het te kunnen uittesten, nee?

louter ter bijkomende info  wat hieromtrent op het forum als antwoord door Pro⌘ al gepost geweest is:

 

  • Er is namelijk geen NAT loopback op de Sagemcom bbox.
    Dit betekend dat wanneer je test met WANIP:poortnummer,
    vanop je eigen LAN netwerk, dit niet zal werken.
    Dit wegens beveiligingsredenen.
    (Op de Technicolor bbox3 is er wel NAT loopback.)
  • Er zijn momenteel geen gekende problemen met portforwarding.
    Let wel op dat er geen NAT loopback is op de Sagemcom devices!
    Dit is geen bug maar een security reden.
    NAT loopback is namelijk een security risk.
    (Met NAT loopback ga je vanop een LAN device verbinden naar een ander LAN device, d.m.v. het extern IP adres)
    Wil je dus testen of je portforwarding werkt en je je LAN device kan bereiken via je extern (WAN) IP,
    doe dit dan niet vanop je eigen LAN netwerk of via mobiel netwerk.
Reputatie 1

PPPoE passthrough optie werkt niet voor mij omdat ik een vast IP-adres heb en niet meerdere IP-adressen kan krijgen met mijn inloggegevens.

 

Toch wel. Met een vast IP adres zal je het vast IP krijgen op de eerste PPPoE sessie

De volgende PPPoE sessies krijgen dan een dynamisch IP

Als je dus de PPPoE sessie afzet in de B-box, zal jouw achterliggende router het vast IP verkrijgen.

 

Maar die NAT-regels hebben geen effect op lokale apparaten (bijvoorbeeld je gsm over thuis WiFi) in het geval van BBox 3v+. Het werkte goed met de BBox 3 (Technicolor) maar niet meer met de nieuwe BBox 3v+ (Sagemcom).

Het énige wat je niet kan is een interne server bereiken via het extern IOv4 adres (Nat loopback).
Heb je dat zo nodig? Via 4G of de smart wifi moet het wel lukken?

 

Dat is ook geen oplossing omdat ik de NAT-loopback op het statische IP-adres nodig heb, niet de dynamische.

Dat is precies mijn probleem, toegang tot de server via openbare FQDN (mijn-eigen-site.be) bij thuiskomst (bijvoorbeeld GSM via WiFi). Ik heb thuis een zeer slechte GSM ontvangst dankzij de dekking van Proximus.
We draaien dus gewoon de wereld rond omdat Proximus niet om zo'n simpel probleem geeft.

Is er niemand hier van Proximus?

maandag pas komt er iemand die van proximus zelf is, terug langs op het forum.

Reputatie 1

ik begrijp het ook niet goed normaal gebruik je eigenlijk maar Nat loopback om vanuit je eigen lokaal netwerk het te kunnen uittesten, nee?

Wat is er zo moeilijk te begrijpen.
Stel dat onze kinderen, opgegroeid in het “Internet age”, in plaats van de hele dag YouTube of Proximus TV te kijken, als hobby of school project een "raspberry pi" webserver hebben om een aquarium te besturen / bewaken.

De PI heeft een lokale IP
192.168.1.x
en u maakt voor hem een port forwarding regel vanaf uw gateway public IP

(A.B.C.D) naar 192.168.1.x poort 80 of 443.
Je krijgt ook een gratis dyndns FQDN (domeinnaam)
mijn-hobby.be
zodat hij het gemakkelijk kan delen met collega's en vrienden.

Al zijn vrienden hebben op afstand toegang tot het PI via mijn-hobby.be maar uw kind uit thuisnetwerk niet. Omdat mijn-hobby.be zal besluiten tot (A.B.C.D) en ga nergens omdat NAT regels zijn niet van toepassing op LAN  verkeer zonder NAT loopback.

Men kan zich complexere scenario's voorstellen, die vandaag nog steeds veel worden gebruikt, zoals NAS, VPN, SMTP servers waarvoor u niet altijd het adres wilt instellen, maar uw eenvoudige FQDN wilt gebruiken.

Misschien moeten we een SMART HOME training organiseren voor Proximus/Telenet-medewerkers, met het onderwerp:
“Wat is een NAS en hoe kan ik er thuis en elders toegang toe krijgen?

Daar kunnen we verschillende scenario's doornemen en het belang van NAT loopback uitleggen.
Dit is nog steeds geen “rocket science”, maar ons leven is wel complexer dan 20 jaar geleden!

Reputatie 1

louter ter bijkomende info  wat hieromtrent op het forum als antwoord door Pro⌘ al gepost geweest is:

 

  • Er is namelijk geen NAT loopback op de Sagemcom bbox.
    Dit betekend dat wanneer je test met WANIP:poortnummer,
    vanop je eigen LAN netwerk, dit niet zal werken.
    Dit wegens beveiligingsredenen.
    (Op de Technicolor bbox3 is er wel NAT loopback.)
  • Er zijn momenteel geen gekende problemen met portforwarding.
    Let wel op dat er geen NAT loopback is op de Sagemcom devices!
    Dit is geen bug maar een security reden.
    NAT loopback is namelijk een security risk.
    (Met NAT loopback ga je vanop een LAN device verbinden naar een ander LAN device, d.m.v. het extern IP adres)
    Wil je dus testen of je portforwarding werkt en je je LAN device kan bereiken via je extern (WAN) IP,
    doe dit dan niet vanop je eigen LAN netwerk of via mobiel netwerk.

Ik kon deze info zelf niet terugvinden tijdens het zoeken, bedankt voor het delen.
Wat betreft: “
Dit is geen bug maar een security reden.

Als dit zo'n beveiligingsrisico is, waarom heeft Proximus dan niet aan Technicolor gevraagd om deze functie uit te schakelen (het is slechts een optie in de build van de firmware). Simpelweg omdat ze hier niet om gaven wanneer ze met Technicolor of Sagemcom praatten, de boodschap die je hebt is een goedkoop excuus.
Als ze om dit beveiligingslek geven, moeten ze er een optie van maken in de UI en deze standaard uitschakelen. Maar ik denk dat Sagemcom-firmware dit probleem eenvoudig niet kan oplossen (noem het goedkoop). Het verlagen van uw firewall-niveau brengt meer veiligheidsrisico's met zich mee dan NAT loopback.
 

Begrijp me niet verkeerd Martin, maar ik ben het niet eens met zo'n Proximus-antwoord.

Dat is tenslotte ook uw volle recht om er niet mee akkoord te gaan, en inderdaad toen mijn technicolor modem omgeruild werd voor een sagemcom vroeg ik mij ook direct af hoe het kwam dat natloopback ineens niet meer ondersteund werd, en dacht ik toen ‘t zal mss bij de volgend software updates wel aangepast worden en heb ook de vraag indertijd gesteld  of dit voorzien was in de toekomst, maar toen kon men daar ook geen antwoord op geven.

Enfin ik heb ik er zeker niks tegen dat dit terug zou ingevoerd worden, verre van  maar het is natuurlijk aan Proximus om dit terug mogelijk te maken.
Het is tenslotte ook daarom, en zeker niet daarom alleen, dat velen zelf  een router aanschaffen om hem achter de modem te zetten, omdat de mogelijkheden veel groter zijn dan wat de bbox ons biedt.

Reputatie 1

De betere oplossing voor dit probleem is het gebruik van Split DNS. Dit betekent in feite dat interne en externe clients host namen anders omzetten.
Maar ik denk dat te veel zal zijn om aan Proximus te vragen. Ze hebben klanten nooit toegestaan om de DNS in een van hun boxen te wijzigen.
Ik heb dit in het verleden gedaan voor een oplossing met een tweede niet-Proximus PPPoE-router.

Reputatie 5
Badge +2

Ergens hierboven gelezen dat de gemeenschap zijn stem moest verheffen om Proximus van ik weet niet wat te overtuigen. Ik ga eerlijk zijn : ik snap van gans dat gedoe echt niets. Hoe wil je dan ...?

Dat is niet met zoveel duidelijkheid gezegd geweest volgens mij.

ik kan mij moeilijk inbeelden dat alles zal doorgaan wat daar voorgesteld wordt, van zodra er 50 stemmen geweest zijn!

Als het zo zit ga ik direct een voorstel doen om al op de abonnementen 50% korting te geven, ik durf weden dat ik vlug aan veel meer stemmen zal geraken, nee ? 

Reputatie 5
Badge +2

 


Het zal goed zijn om te zien hoe de gemeenschap haar stem verheft en de operators duidelijk maakt dat ze niet voor altijd zo kunnen gaan.

 

Het ging gewoon over deze zin. Dat verstond ik. Van de rest niet veel. Ben ik alleen?

Het gaat hem om de optie NAT looback die niet ondersteunt wordt met de bbox3 van sagemcom en wel met de bbox van technicolor.

Of anders gezegd de mogelijkheid om via je lokaal netwerk bv je server te bereiken, die op de bbox aangesloten is , via het publiek Wan adres van je bbox (via het privé LAN adres gaat dit wel natuurlijk, en ook gaat dit via een ander publiek netwerk of mobiel netwerk)

Reputatie 1

Ik heb gezien dat anderen in dit forum eerder klagen over de ontbrekende NAT loopback op de Sagemcom BBox. Aangezien deze functie niet zo ongewoon meer is (bijv. NAS gebruikers), hoe kunnen we Proximus laten begrijpen dat dit iets is dat klanten willen. Is er een manier hier in het forum om een functie te vragen / stemmen? Het zou interessant zijn om te weten hoeveel gebruikers servers (HTTPS, SMTP, IMAP, VPN, FTP ...) achter de gateway uitvoeren. Hoeveel klanten gebruiken dynamische DNS of vaste IP.

@Johnix via de ideeënbus op het forum > klik hier

succes. 

Reputatie 1

Bedankt Martin!

Reputatie 1

Link naar ideeënbus voor NAT loopback om voor te stemmen.
Bedankt voor je steun!

Beste,

We hebben onlangs een nieuwe modem ontvangen. Nu merken dat wij hetzelfde probleem hebben.

Wij kunnen portforward instellen, maar ze worden niet meer geredirected. Hoe kunnen we dit wel doen?

Dit is wel cruciaal voor ons: NAS, VPN, RDP

 

  • Software Version

    8c.412A

  • GUI Version

    7.3.8

  • Hardware Version

    3.1

 

Mvg

 

Kim

Reageer